2022년 3월 24일

NFT 피싱 스캠 해부학

NFT의 인기가 계속 높아짐에 따라 TRM은 러그 풀, 가짜 NFT 채굴 사이트, 고객 지원 사칭, 입찰 사기, 가짜 오퍼, 위조 NFT 등 다양한 관련 사기의 출현을 추적하고 있습니다.

이 게시물에서는 특히 교묘한 스캠 유형인 미끼와 스위치 계약에 대해 자세히 설명합니다. 이러한 형태의 피싱은 일반적으로 합법적인 소유권 거래 가장하여 사용자에게 계약에 서명하도록 유도한 다음 공격자에게 사용자의 전체 지갑에 대한 통제권을 부여합니다.

TRM 조사관들은 최근 한 건의 피싱 스캠 밝혀냈으며, 법 집행 기관과 협력하여 가해자를 파악하고 있습니다. 조사 과정에서 저희는 NFT를 안전하게 거래하려는 개인 사용자와 의심스러운 송금을 발견하고 조사하려는 기관 및 암호화폐 플랫폼 모두에게 위험 신호로 작용할 수 있는 몇 가지 특징을 확인했습니다.

간단히 요약하면 다음과 같습니다(이미지를 클릭하면 확대됩니다):

‍

‍

이번 NFT 피싱 스캠 어떻게 진행되었는지 단계별로 살펴보겠습니다:

1. 공격자가 지갑을 설정합니다. 공격자는 종종 Tornado.cash와 같은 믹서를 통해 공격 지갑에 예치금을 시드, 즉 초기화합니다. 종종 공격자가 직접 공격 지갑에 초기 입금을 하는 것을 볼 수 있습니다. 이는 지갑을 테스트하거나, 컨트랙트를 테스트하거나, 자산에 따라 지갑을 초기화하기 위한 것이기도 합니다. 예를 들어, 트론 지갑은 작동하기 전에 TRX 잔액이 필요합니다. 테더(Tether) 가 없는 지갑 주소로 송금할 수는 있지만 잔액에 표시되지 않으며 소유자가 먼저 지갑에 TRX를 넣기 전까지는 사용할 수 없습니다.

‍

2. 공격자가 컨트랙트를 생성합니다. 미끼 계약에는 공격자가 피해자의 지갑에서 모든 토큰을 거래 수 있도록 하는 "atomicMatch_" 및 "setApprovalForAll"과 같은 코드 함수가 포함되어 있습니다.

3. 공격자가 컨트랙트를 배포합니다. 컨트랙트가 작동하는지 확인하기 위해 공격자는 컨트랙트를 호출하여 테스트합니다(이 경우 공격 지갑에서 트랜잭션에 서명). 이 컨트랙트는 다양한 형태를 취할 수 있습니다. 가장 간단한 도난의 경우, 컨트랙트는 피해자에게 공격자의 지갑에 NFT를 비공개로 판매거래하는 것을 승인하라는 메시지를 표시합니다(가격: 0 ETH).

‍

이미지(왼쪽): *토큰이 전송되기 직전에 토큰에 대한 액세스를 승인하는 컨트랙트의 예시,* 이미지(오른쪽): *디앱에서 지갑 연결 또는 컨트랙트 서명을 요청할 때 메타마스크 프롬프트가 표시됩니다.*

4. 공격자가 피해자를 피싱합니다. 실제 피싱은 다양한 형태로 이루어집니다. 이메일, 메시징 앱의 DM, 디스코드, 텔레그램 및 기타 포럼의 팝업, 메타마스크를 통한 지갑 내 광고, 지갑 연결이 가능한 가짜 사이트, NFT 마켓에서 지원 직원을 사칭하는 방법 등이 있습니다. 결국 피해자는 항상 개인 키를 제공하거나 승인 계약에 서명하도록 요청받게 됩니다. 이러한 공격이 성공하는 이유는 구매자와 판매자가 가치 있는 NFT를 수집하기 위해 빠르게 행동해야 한다는 압박을 받기 때문입니다. 이 사례에서 공격자는 피해자에게 미끼와 교환 계약에 서명함으로써 P2P 거래를 시작하도록 유도했습니다.

‍

5. 공격자가 NFT를 훔칩니다. 피해자는 더 많은 손실을 입을 수 있습니다. 일부 피싱 컨트랙트는 공격자에게 NFT뿐만 아니라 피해자의 모든 자산을 거래 수 있는 권한을 부여합니다. 이는 블록체인 상에서 명백해 보입니다. 공격자는 NFT를 전송하지만 피해자에게 대금을 지불하지 않습니다.

6. 공격자가 합법적인 시장에서 NFT를 뒤집는 경우. 대체 가능한 자산(예: 이더리움)은 세탁하여 법정 화폐로 현금화할 수 있지만, NFT는 불가능합니다. 따라서 대부분의 경우 공격자는 훔친 자산을 사용할 수 있는 자산으로 전환해야 합니다.

‍

7. 공격자는 이더리움으로 보상을 받습니다(이 예시에서는). 시장에 있는 구매자는 NFT가 판매되기 직전에 피해자의 지갑에서 무상으로 이체되었다는 사실을 알지 못한 채 ETH와 교환하여 NFT를 구매합니다.

8. 공격자가 불법 수익금을 세탁합니다. 공격자는 이더리움으로 대금을 받은 후 자금 세탁에 사용되는 지갑으로 수익금을 이동합니다. 이러한 지갑에는 종종 NFT 마켓에서 이더리움을 여러 번 입금하고 통합된 자금을 한두 번 대량으로 인출합니다.

9. 공격자가 현금화합니다. 현금화는 보통 믹서, 고위험 거래소, P2P 플랫폼, 거래 및 체인 호핑, 스테이블코인으로의 전환 등 일반적인 경로를 따릅니다.

‍

‍

피싱을 피하려면 어떻게 해야 하나요?

계약은 복잡합니다. 하지만 사람의 행동은 그렇지 않습니다. 많은 사용자가 거래에 서명하기 전에 계약의 세부 사항을 분석하지 않으며, 특히 경매나 시장 환경에서는 속도와 느림이 낙찰과 잠재적 가치가 있는 NFT를 놓칠 수 있는 차이를 의미할 수 있습니다.

피싱 스캠 DM, 이메일, 팝업, 광고 등 어떤 형태로 시작하든 피해자가 공격자에게 지갑에 대한 액세스 권한을 부여하는 계약에 서명하는 것으로 끝납니다.

유인원, 펑크, 블록, 낙서, 물고기, 고양이, 땅을 수집하기 위해 경쟁할 때, 자신과 가상자산 보호하는 방법을 몇 가지 제안합니다:

낯설거나 예상치 못한 계약 전화와 같은 위험 신호를 찾아보세요. 100% 신뢰하지 않는 거래에는 절대 서명하지 마세요. 거래에 서명하는 것만으로도 도둑에게 모든 NFT와 가상자산 대한 액세스 권한을 줄 수 있습니다.
계약이 "실패"하거나 "문제가 발생"한 것처럼 보이는 링크, 버튼 또는 첨부파일은 절대 클릭하지 마세요. 외부 채널을 통해 확인하거나 병행 웹 검색을 통해 동일한 정보를 찾지 않는 한 이메일의 링크를 클릭하지 마세요.
NFT만을 위한 별도의 지갑을 사용하거나 "버너" 지갑을 설정하여 안전하다고 확신할 수 없는 컨트랙트와의 상호작용을 테스트하세요.
도난당한 상품을 구매할 수 있으니 구매하기 전에 NFT의 이력을 확인하세요.
구매할 때는 거래상대방 자세히 살펴보세요 거래상대방 거래 내역을 살펴보면, NFT를 '무료로' 획득한 후 오픈 마켓에서 판매하기 위해 뒤집는 패턴을 반복하는 것을 볼 수 있습니다.
가격 확인: 합법적인 마켓의 가격보다 훨씬 낮다면 스캠 가능성이 높습니다.
주소를 확인하고 NFT가 발행된 곳을 확인합니다.
트위터나 블로그 검색에 판매자의 주소를 입력하고 검색이 되는지 확인합니다.
이더스캔에서 현재 토큰 승인을 확인하세요. 더 이상 필요하지 않은 토큰은 취소하세요.
점 3개 버튼을 클릭해 메타마스크 지갑에 연결된 사이트를 확인하세요. 더 이상 사용하지 않는 사이트는 삭제하세요(아래 이미지 참조).
가짜 오퍼, 경품, 에어드랍, 기술 지원, 채굴 사이트를 주의하세요.
Discord DM을 끄세요. 핑 피싱이 유행하고 있습니다.
그리고 항상 그렇듯이, 어떤 이유로든 개인 키나 시드 문구를 다른 사람에게 절대 알려주지 마세요.

‍

암호화폐 경제는 어떻게 이러한 악용 사례에 대규모로 대응할 수 있을까요?

TRM의 글로벌 조사팀은 위에서 설명한 익스플로잇과 같은 암호화폐 범죄 위협, 위협 행위자 및 이벤트를 적극적으로 추적하고 조사합니다. 공격자 지갑과 사기에 연결된 기타 지갑은 TRM 도구에서 어트리뷰션되므로 TRM의 거래 모니터링 및 포렌식 도구 사용자는 사기꾼에 노출 가능성이 있는 경우 자동으로 알림을 받게 됩니다.

이를 통해 암호화폐 거래소, NFT 마켓플레이스, 커스터디 제공자, 암호화폐 및 NFT 거래에 노출 금융기관 등 TRM 도구의 기업 사용자는 플랫폼과 접촉할 때 NFT 사기와 관련된 주소와 자산을 식별할 수 있습니다. 이러한 도구를 통해 규제 당국과 법 집행 기관 수사관들은 공격자의 지갑과 피해자 계정을 보다 효과적으로 식별하고, 도난당한 NFT를 추적하고, 도난당한 NFT의 판매 수익금을 추적할 수 있습니다.

이전 게시물에서 TRM 인사이트는 대체 불가능한 토큰(NFT)을 다양한 각도에서 살펴본 바 있습니다. 규제 환경, 러그 풀 또는 NFT 하락에 대한 보안 고려사항에 관심이 있으신가요? 링크된 글을 확인해 보세요. NFT의 위험과 기회에 대해 자세히 알아보고 싶으신가요? 다음 에피소드를 클릭하세요. TRM Talks. 마지막으로, NFT 위험 평가에 대해 자세히 알아보세요. TRM Labs.

‍

저자 소개

크리스 호프마이스터는 블록체인 조사관입니다. TRM Labs에서 기관, 규제기관 및 법 집행 파트너와 협력하여 사기, 사기, 자금 세탁 및 기타 가상자산 금융 범죄를 탐지, 조사, 예방하는 업무를 담당하고 있습니다. TRM에 합류하기 전에는 국토안보수사국에서 범죄 분석가로 근무하며 국토안보수사국의 가상자산 정보 프로그램을 개발 및 감독하고 여러 관할권 및 국경을 넘나드는 범죄 수사를 지원했습니다. 여러 가상자산 및 금융 범죄 관련 자격증을 보유하고 있으며 조지타운 대학교에서 보안학 석사 학위를 받았습니다.

‍

정보 TRM Labs

TRM은 금융기관, 가상자산 사업자, 공공기관이 암호화폐 관련 사기 및 금융 범죄를 탐지, 조사, 관리할 수 있도록 블록체인 인텔리전스 제공합니다. TRM의 위험 관리 플랫폼에는 거래 모니터링 및 지갑 스크리닝, 가상자산사업자(VASP) ) 실사를 포함한 법인 위험 점수, 자금 출처 및 목적지 추적 솔루션이 포함되어 있습니다. 이러한 도구를 통해 전 세계적으로 빠르게 성장하는 조직 집단이 가상자산 거래, 상품, 파트너십을 안전하게 수용할 수 있습니다.

TRM은 캘리포니아주 샌프란시스코에 본사를 두고 있으며 엔지니어링, 제품, 영업 및 데이터 과학 분야에서 채용을 진행하고 있습니다. 자세한 내용은 www.trmlabs.com 에서 확인하세요 .

글로벌 조사팀에 단서를 신고하려면 이메일( investigations@trmlabs.com)로 문의하세요.

‍